Quelque chose ne tourne pas rond autour de la cyberassurance. Le risque augmente, les attaques pullulent, et pourtant, les entreprises s’en vont. À qui la faute ? Aux assureurs eux-mêmes, répond l’Amrae.
L’association professionnelle du risk management les accuse d’avoir provoqué une "crise de confiance" sur ce marché en devenir. Leur tort : avoir procédé à un "durcissement brutal des conditions" de souscription, à l’origine de renouvellements de polices "tempétueux", en fin d’année dernière. Les plus grandes entreprises en ont été les principales victimes en 2021. Mais les ETI pourraient être les prochaines sur la liste, met en garde cette étude.
Le marché de l’assurance cyber est devenu rentable
En apparence pourtant, l’assurance du risque cyber a enregistré de solides performances en 2021. Les primes réglées par les entreprises (185,4 millions d’euros) ont bondi de 44,4 % en un an, le nombre de sociétés couvertes a franchi la barre des 12 000 (+37,9 %), porté par une ruée des plus petites d’entre elles (+48,5 % au sein des structures réalisant moins de 2 M€ de chiffre d’affaires).
Mieux, "le marché est redevenu rentable" : le solde entre cotisations perçues et indemnisations versées affiche un excédent de 21,7 M€, contre -87 M€ en 2020. Un redressement spectaculaire, mais à quel prix ?, s’interroge l’Amrae.
Son enquête auprès de 9 acteurs du secteur et sur 2 028 polices d’assurance montre un sérieux durcissement des garanties proposées. Au point que l’association évoque une "purge" et un "traitement de cheval" !
Mais les conditions de souscription se sont durcies
La recette appliquée par les compagnies tient en trois ingrédients. D’abord un relèvement des tarifs. "Le taux de prime a ainsi été, en moyenne, multiplié par deux pour les grandes entreprises" et il a bondi de 56 % pour les ETI, note l’étude. Pis, ces augmentations de prix se sont accompagnées d’une diminution des couvertures proposées ! Les "capacités souscrites" ont fondu de quasiment 24 % dans le premier cas, plus de 13 % dans le second. Cerise sur le gâteau, les franchises, "jusqu’à présent anecdotiques", ont explosé, pour atteindre, respectivement, près de 4 millions d’euros (pour les grands groupes) et 228 000 € (pour les ETI).
« Les assureurs donnent l’impression de ne plus vouloir couvrir le risque cyber. »
Conclusion de Philippe Cotelle, en charge de cette étude : "Le triptyque hausse des taux + réduction des capacités + durcissement des conditions de souscription finit par donner l’impression que les assureurs ne veulent plus couvrir le risque cyber."
Certains clients ont ainsi décidé, purement et simplement, d’arrêter les frais : sur les 251 entreprises de grande taille analysées, 11 ont mis fin à leur couverture en 2021. L’Amrae y voit un "signal très fort" sur ce marché naissant. D’autant plus que ces sociétés représentent 82 % des primes perçues par les compagnies et portent donc, à elles seules, l’équilibre économique de la cyberassurance.
Les ETI risquent de devoir passer à la caisse fin 2022
Mais là n’est pas la seule alerte soulevée par l’association. Selon elle, il ne fait aucun doute que les ETI subiront le même sort en fin d’année. Et ce, pour la simple et bonne raison que, sur ce segment, la rentabilité n’est pas du tout au rendez-vous pour les assureurs. L’an dernier, la protection des entreprises de taille intermédiaire leur a coûté près de 39 millions d’euros (24,2 M€ de primes reçues, pour 63,1 M€ d’indemnisations accordées… 5 fois plus qu’en 2020 !).
"Elles peuvent donc s’attendre au même traitement que les grandes entreprises lors de leurs renouvellements 2022, avec une très forte augmentation des taux de primes, doublée d’un durcissement sévère des conditions de souscription", prédit Philippe Cotelle, dans son étude. Or, les ETI, "plus fragiles […] pourraient ne pas supporter la brutalité" de ce "traitement robuste".
Et pourtant, il y a urgence à agir, et à se prémunir du risque cyber, dans ces entreprises aussi. Si en 2019 et 2020, le nombre de sinistres indemnisés était encore assez proches entre elles et leurs aînées, l’an dernier, l’Amrae en a compté deux fois plus dans les ETI que dans les plus grands groupes.
